Home » Comment ça marche, Internet

Comment neutraliser son FAI

21 février 2011 7 commentaires
tags : ,
Download PDF

Attention, ce qui suit n’est pas nécessairement à la portée technique de monsieur tout le monde, mais ça ne vous empêche pas d’essayer :)

Crédit photo : Natharael

HADOPI a fait découvrir les VPN à bon nombre de gens ces derniers mois. Qu’on ne se trompe pas de discours, le présent article n’a pas pour but de faire l’apologie de l’anonymat sur internet. Celui fourni par les marchand de VPN est d’ailleurs tout à fait relatif. Non, il s’agit plutôt de remettre un peu de neutralité là ou n’y en a plus.

Qu’on s’entende bien sur le terme neutralité, s’il en était encore besoin. « Tous les paquets naissent et circulent libres et égaux en droit et chaque équipement est libre de communiquer avec tous les autres ».

Oui, mais comment faire lorsque votre FAI et sa bidulebox considèrent que décidément mégaupload ne sont qu’une bande de pirates pédo-nazis ? Il faut rejoindre la face cachée d’internet, celle où l’herbe n’est certes pas plus verte mais où la tondeuse de monsieur Orange n’a pas tout égalisé façon terrain de foot avant une coupe du monde.

Pour se faire, on va monter un VPN. Non pas avec ces espèces de troll « anti hadopi » qu’on trouve un peu partout sur la droite de Google quand on cherche des infos techniques mais avec un vrai opérateur qui sait ce qu’il va vous vendre et qui saura même vous l’expliquer.

Lorsque votre machinbox est connectée au réseau, elle porte généralement l’adresse IP publique qui vous a été allouée par le FAI. Vos ordinateurs, smartphones et autres frigos intelligents n’ont qu’une IP privée à leur disposition. Ces IP sont ensuite, par un mécanisme prénommé « network address translation », empaquetées dans la seule IP publique vous permettant de discuter avec le réseau.

Ce mécanisme, sauf à déployer des trésors d’ingéniosité à base de redirections de ports, vous empêche, depuis votre lieu de vacances, de taper http://www.monfrigoamoi.com/ dans un navigateur pour aller consulter l’état de votre stock de yaourts. Certains trouvent que c’est plutôt pratique d’un point de vue sécurité, l’accès à vos ordinateurs étant, de facto, rendu plus difficile depuis l’extérieur.

Le décor est donc planté. Sans neutralité, point d’accès confortable à tout le réseau et point d’accès à ses propres équipements tout court.

Là où l’opérateur VPN normalement constitué va pouvoir vous aider, c’est en banalisant (« neutralisant » dans le titre du présent article) la liaison que vous offre votre FAI. J’ai déjà un peu causé du principe du VPN ici. Ce qu’il faut retenir, lorsqu’on n’imprime rien à la technique, c’est qu’un VPN n’est ni plus ni moins qu’un câble virtuel qui va relier votre machine à un réseau distant.

De l’autre coté de ce câble, si le réseau est pourri et non neutre, vous n’aurez rien gagné. Si, par contre, le réseau peut vous fournir autant d’IP que nécessaire pour vos objets communicants ayant besoin de dialoguer proprement avec l’extérieur et traiter votre trafic de manière normale, vous avez décroché la timbale.

Là où les choses se corsent, c’est que si l’installation d’un client VPN est facile sur votre PC de bureau ou votre laptop, c’est probablement plus difficile sur votre beau frigo. La solution à tout ça, c’est le petit routeur qui va établir lui-même la liaison VPN et distribuer, sur votre réseau local, les adresses IP fournies par votre réseau distant. En très schématique, ça donne :

[Vos équipements avec ip routables]
|
[Votre routeur VPN]
|
[Le réseau privé de la machinbox]
|
[Le réseau de votre FAI]
|
[Internet]---[Réseau du FAI de vacances]
|
[Le réseau du fournisseur VPN]

Pour bien visualiser, à chaque fois que vous allez essayer de discuter avec votre frigo depuis votre lieu de vacances, les données vont d’abord aller chez votre fournisseur VPN qui va les enfermer dans le câble virtuel dont je parlais tout à l’heure pour les faire remonter sur votre routeur VPN, la réponse suivant exactement le cheminement inverse. Il en va de même lorsque vous êtes chez vous et que vous irez consulter vos emails sur le serveur de votre FAI. Votre demande ira jusqu’au fournisseur de VPN dans le câble virtuel pour en ressortir et parcourir internet jusqu’au réseau de votre FAI où il trouvera le serveur de mail, la réponse repassant ensuite par le réseau du fournisseur VPN. Votre FAI ne saura même pas que vous consultez vos emails depuis chez vous.

Si on se place chez votre FAI ou sur votre machinbox, on n’observe donc qu’une seule communication établie en permanence avec votre fournisseur VPN, rien d’autre. Si cette communication est convenablement chiffrée, son contenu ne pourra d’ailleurs pas être lu.

Et le plus beau dans tout ça, c’est qu’en travaillant un peu le sujet, ça marche aussi sur des mobiles avec des connexions 3G, en attendant d’avoir des réseaux mobiles proposant du vrai internet.

Comme je le disais en début d’article, ce genre d’installation n’est pas à la portée de monsieur tout le monde. C’est là tout l’enjeu de la neutralité, elle est un fondement du réseau mais les masses connectées aujourd’hui ne peuvent pas y accéder réellement et n’en voient même pas l’utilité… « Tant que Facebook marche, tout va bien ! ».

Amis barbus, prions pour que les quelques parlementaires qui ont commencé à travailler sur le sujet réussissent à convaincre leurs collègues. S’ils n’y parviennent pas, nous devrons redoubler d’efforts pour produire de petits routeurs VPN plug&play à disséminer partout pour aider Mme Michu contre sa propre volonté … Comme la Freedom Box par exemple.

7 Comments »

  • L. said:

    Tant que le FAI ne s’attaque pas spécifiquement à ce genre de chose (les paquets encapsulés), le chiffrement est d’ailleurs un peu du gâchis. Un simple tunnel IP-in-IP ferait l’affaire, sans consommer autant de CPU aux extrémités.

    A part ça, on se retrouve quand même avec deux FAIs à la fois, avec cette approche. La bande passante n’étant pas gratuite, conjuguer neutralité et un minimum de performances risque d’avoir un coût, peut-être plus élevé que d’aller directement voir un FAI comme Nerim ou FDN.

    En contrepartie, on y gagne de dissocier le FAI en charge de la collecte du FAI en charge de la liaison à Internet. Cela peut être intéressant dans certains cas, comme par exemple quand on veut du fastpath sur la ligne ADSL (je crois que seul Free le fait) avec les plus d’un autre FAI (neutralité, un /48 en IPv6, etc). Cela pourrait être une option précieuse avec le déploiement de la fibre: j’ai l’impression que les offres de bitstream FTTH manquent un peu de concret (en tout cas, le projet de FDN a l’air bien silencieux). (Mais le cas de la fibre est précisément un scénario où le surcoût finançant la bande passante pourrait être un peu élevé).

  • dju- said:

    Salut,

    Concernant les connexions 3G, j’ai fait quelques tests très étonnants ces derniers temps sur ma clé USB pro 3G++ premium Orange. ça rejoint aussi certains points abordés dans ton billet.

    Je ne sais pas si c’est normal, mais après tout ce que l’on entend à droite à gauche sur les connexions 3G, il me semblait important de souligner cette nuance qui existe bel et bien sur les clés usb 3G forfait pro. Preuve que quand ils veulent, ils peuvent fournir un service un peu meilleur.

    – en upload, je mesure systématiquement (quelque soit la zone) à un un débit au moins deux fois supérieur à celui du download… on ferai donc dans le genre un espèce d’ADSL inversé à ce que l’on peut faire d’habitude. N’ayant que des connaissances basiques en réseau, je n’explique pas ce « phénomène »,

    – la VoIP sur le service d’OVH par exemple, n’est pas filtré ; du moins, pour les fois ou je les ai testé, ça a parfaitement fonctionné.

    – l’ip fournie à ma clé 3G est contre toute attente publique. Ma machine est bien accessible en icmp de l’extérieur, mais pas en http ou autre.

    jb@jb-netbook:~$ ifconfig

    hso0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet adr:90.94.250.45 P-t-P:90.94.250.45 Masque:255.255.255.255
    UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1486 Metric:1
    Packets reçus:2508 erreurs:0 :0 overruns:0 frame:0
    TX packets:3074 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 lg file transmission:10
    Octets reçus:1905851 (1.9 MB) Octets transmis:408630 (408.6 KB)

    Depuis une adresse externe, elle répond bien au ping ;

    ns310731:~# ping -c 3 90.94.250.45
    PING 90.94.250.45 (90.94.250.45) 56(84) bytes of data.
    64 bytes from 90.94.250.45: icmp_seq=1 ttl=48 time=109 ms
    64 bytes from 90.94.250.45: icmp_seq=2 ttl=48 time=64.9 ms
    64 bytes from 90.94.250.45: icmp_seq=3 ttl=48 time=81.5 ms

    — 90.94.250.45 ping statistics —
    3 packets transmitted, 3 received, 0% packet loss, time 2007ms
    rtt min/avg/max/mdev = 64.924/85.187/109.080/18.209 ms

    c’est lent un max…mais ça répond !

    par contre, en http… rien à signaler, alors que mon apache tourne bien

    ~# telnet 90.94.250.45 80
    Trying 90.94.250.45…
    ^C
    ~# wget 90.94.250.45
    –2011-02-22 07:03:49– http://90.94.250.45/
    Connexion vers 90.94.250.45:80…^C

    Je suis curieux d’avoir ton point de vue la dessus…

  • Tanguy Ortolo said:

    Joli titre. :-)

    Avec IPv6, plus d’obstacle à fournir des tunnels avec adresse IP publique, je pense.

  • Bruno (author) said:

    @dju : pour la bande passante, il y a effectivement une priorité donnée aux clients pro sur les liens. J’ai aussi constaté ça aux heures de pointes sur différents téléphones.

    Pour les IP publiques, j’avais entendu dire effectivement que ça se faisait … Pour ce qui est des connexions entrantes, j’imagine qu’une masse (sinon touts ?) de ports sont fermés en entrant, histoire de coller au contrat qui dit qu’un terminal mobile ne doit pas être utilisé en tant que serveur.

    @tanguy : plus d’obstacle concernant le nombre d’IP dispo, mais si tu regarde bien, au début de l’internet mobile, des IPv4, on en avait des paquet … ça a pas empêché ces messieurs de faire du NAT … le problème n’est pas coté nombre d’IP routables dispo mais bien politique de réseau.

  • Cld said:

    dju-: le débit d’upload supérieur, je serais pas étonné que ça soit dû au fait que le réseau est sous utilisé en montant et donc moins saturé.

  • xtoflyon5 said:

    Oui mais… si le FAI non neutre décide que VPN = Caca ou bien que @IP du fournisseur = Caca (parce que pas sur la liste blanche d’un Hadopi, gnagnagna) et bien le joli trafic crypté et neutralisé et bien il est entièrement Caca !

    Donc l’idée de neutraliser le trafic vu du FAI par un VPN est bonne, mais à généraliser les VPN, on va trouver des contre-mesures contre eux et il va ensuite falloir trouver comment neutraliser les paquets (ou terminaisons) des VPN eux-mêmes aussi. J’suis clair ?

    Bref, c’est pas gagné pour Mme Michu.

  • Bruno (author) said:

    Ah ben c’est un jeu de chat et de souris perpétuel, tout à fait.

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


8 − un =